Koordination Datenschutz nach DSGVO in Krefeld und Umgebung

Das Datum der endgültigen Rechtskräftigkeit der neuen EU Datenschutz-Grundverordnung (DSGVO)am 25. Mai 2018 hat für viel Aufsehen, Verunsicherung und Bewegung unter Datenschutzbeauftragten und ihren Firmen gesorgt. Trotz einer de-facto Vorlaufzeit von zwei Jahren scheinen noch immer viele Fragen offen und viele Entscheider überfordert: Was kann der interne Datenschutzbeauftragte leisten, wie betrifft die neue Verordnung gängige Geschäftspraktiken und wie können sich Unternehmen am besten vor Schadensersatzansprüchen schützen? Antworten auf die wichtigsten Fragen.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen müssen ab einer bestimmten Größe einen Datenschutzbeauftragten stellen. Die Schwelle sind mindestens zwanzig Mitarbeiter, wobei bei der Verarbeitung besonders sensibler Daten nach Art. 9 DSGVO (ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit etc.) in jedem Falle ein Datenschutzbeauftragter ernannt werden muss. Datenschutzbeauftragter müssen über ein Mindestmaß an Fachwissen verfügen und ihre Funktion unabhängig ausführen können – womit Personal in Leitungspositionen zumeist wegfällt.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Datenschutzbeauftragte erfüllen folgende Funktionen:

• Überwachung der Einhaltung der gesetzlichen Vorgaben im Datenschutz
• Dokumentation Art und Umfang der Datenverarbeitung (Verfahrensverzeichnis führen)
• Beratung bezüglich der Datenschutz-Folgenabschätzung
• Schulung, Unterrichtung und Beratung der Mitarbeiter
• Zusammenarbeit mit der zuständigen staatlichen Aufsichtsbehörde

Wenn kein IT-Sicherheitsbeauftragter ernannt wurde, übernehmen manche Datenschutzbeauftragte auch Aufgaben aus der Datensicherheit. Datensicherheit betrifft den konkreten Schutz der gespeicherten Daten durch geeignete technische Lösungen, insbesondere vor Manipulation, Verlust oder unberechtigter Einsichtnahme.

Kann ein Datenschutzbeauftragter haften?

Fehler von Datenschutzbeauftragten können zu einer hohen Strafe für das Unternehmen führen. Mit der DSGVO wurde die Höhe dieser Sanktionszahlungen noch einmal drastisch angehoben. Dabei kann bei nachweislich fehlerhafter Arbeit, die eine Unternehmensstrafe zur Folge hat, das Unternehmen vom eigenen internen Datenschutzbeauftragten Schadensersatz fordern (§ 280 BGB unter Einbezug der arbeitsrechtlichen Beweislastumkehr nach § 619a BGB). Auch der Geschädigte kann Ansprüche erheben (§ 823 BGB). Daher ist eine ausreichende Schulung und mögliche externe Hilfe häufig sinnvoll und schützt alle Beteiligten vor hohen Kosten.

Was ist die Datenschutzgrundverordnung und für wen gilt sie?

Die DSGVO ist zunächst eine EU-Verordnung, die somit in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedsstaat gilt. Sie hat einen oft unterschätzten, breiten Anwendungsraum.

Wen und was will die DSGVO genau schützen?

Die Ziele ist der Schutz natürlicher, identifizierbarer Personen bei der Verarbeitung personenbezogener Daten. Dabei gilt Folgendes:

• Eine Person wird identifizierbar durch ihren Klarnamen sowie Kennzahlen wie ihre Adresse, Telefonnummer, das Geburtsdatum, Kontonummern oder Kfz-Kennzeichen.
• Personenbezogene Daten sind zusätzlich auch alle Informationen, die Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person zulassen.
• Verarbeitung bezieht sich vor allem auf das Erheben, Erfassen, Ordnen, Speichern, Auslesen, Abfragen, die Anpassung oder Veränderung, Offenlegung, Übermittlung oder Verbreitung von Daten. Damit ist im Grunde jede Datenbank betroffen, die Kundendaten sammelt.

Für wen gilt die DSGVO?

Vor dem Hintergrund dieser Definitionen wird der sehr breite Anwendungsbereich schnell deutlich. Sie gilt ohne Einschränkung für alle öffentlichen und privaten Stellen, die personenbezogene Daten verarbeiten. Das sind Behörden wie Einwohnermeldeämter oder Steuerbehörden, aber vor allem alle kundenbezogenen Serviceanbieter, die Daten ihrer Kunden, Mitarbeiter oder Geschäftspartner speichern und somit als datenverarbeitende Unternehmen gelten. Hierzu gehören auch Handwerksbetriebe oder Restaurants, bei denen Datenverarbeitung nicht essenzieller Teil des Geschäftsmodells ist. Dabei ist es nicht relevant, ob die Daten automatisch oder teilweise automatisch gespeichert werden: sobald Informationen über Personen digital in einem elektronischen Dateisystem fixiert sind, greift die Verordnung.

Gibt es Ausnahmen der DSGVO?

Außer private Aktivitäten wie das Führen eines privaten Anschriftenverzeichnisses oder die private Nutzung sozialer Netze, bestehen kaum Ausnahmen. Das gilt ebenfalls für Art. 30, der ein Verzeichnis von Verarbeitungstätigkeiten vorschreibt. Es muss unter anderem den Namen und die Kontaktdaten des Verantwortlichen, den Zwecke der Verarbeitung, Art der erhobenen Daten und der Empfänger ausweisen. Missverständnisse verursacht hier oft Art. 30 Abs. 5 nach dem bei weniger als 250 Mitarbeitern die Pflicht zur Erstellung eines solchen Verzeichnisses entfällt. Das ist im Grunde richtig, allerdings gilt dies nicht, sobald die Verarbeitungen „nicht nur gelegentlich erfolgen“, wie es im weiteren Verlauf des Absatzes heißt. Hierzu gehören dann auch Arbeitszeiterfassung, Gehaltsabrechnungen, Firmenparkplatzverwaltung oder regelmäßige Rechnungsstellung.

Was ändert sich mit der DSGVO?

Die neue Verordnung ist eines der größten Projekte, das jemals von der EU in Angriff genommen wurden, sodass allein in Deutschland rund 300 Gesetze geändert werden müssen, da sie in irgendeiner Weise Datenschutzregelungen berühren. Die Änderungen sind vielseitig und gehen häufig ins Detail. Hervorstechende Änderungen sind:

Informationspflicht und digitale Öffentlichkeitsarbeit

Die DSGVO stärkt die Rechte der Nutzer, denen sie leichteren Zugang zu den von ihnen gespeicherten Daten garantiert. Ebenfalls hat eine Person das Recht, seine Daten löschen zu lassen („Recht auf Vergessenwerden“). Damit besteht eine stärkere Informationspflicht für Unternehmen. Das betrifft neuerdings auch Standortdaten, IPs, Cookies, Scoring- und Ranking-Daten, die erstmals auch als personenbezogene Daten gelten. Das revolutioniert insbesondere die digitale Öffentlichkeitsarbeit eines jeden Unternehmens, da der Umgang mit Internetseiten, Facebookseite, oder Newslettern angepasst werden muss.

Erhöhung der Bußgelder und Beweispflicht

Die Bußgelder sind mit der Verordnung massiv erhöht worden. Bei schwerwiegenden organisatorischen Verstößen können bis zu 10 Mio. Euro bzw. maximal 2 % des weltweiten Vorjahresumsatzes eingefordert werden. Bei Datenverlust beträgt die Summe bis zu 20 Mio. Euro bzw. maximal 4 % des Umsatzes. Das beinhaltet noch nicht die privaten Ansprüche von Geschädigten, die bei Datenschutzverletzungen entstehen. Eine neue Besonderheit ist dabei die Umkehrung der Beweispflicht bei Datenmissbrauch: Musste ein Betroffener bisher selbst nachweisen, dass ein Unternehmen für die fehlerhafte Verarbeitung von Daten verantwortlich ist, liegt die Pflicht des Gegenbeweises jetzt bei den Unternehmen.

Welche Schritte sollten Firmen unternehmen?

Für die Optimierung des Firmeninternen Datenschutzes sollten verschiedene Schritte in Angriff genommen werden. Hierzu zählen:

• Bestandsaufnahme der Datenverarbeitung. Vorlagen für ein Verfahrensverzeichnis liefert das Internet
• Rechtsgrundlage für jede Form von identifizierter Datenverarbeitung prüfen und Anpassung an die neuen Normen
• Verträge mit den Geschäftspartnern auf DSGVO-Konformität prüfen
• Informationspflichten vorbereiten und Informationsstrukturen schaffen

Externe Beratung ist sinnvoll – mindestens als Ergänzung

Insbesondere während der Übergangsphase ist es sinnvoll externes Fachwissen zurate zu ziehen. Für größere Unternehmen kann dies mindestens als notwendige Ergänzung fungieren, gerade angesichts des Detailreichtums der Regelungen. Aber auch kleinere Unternehmen profitieren hier, insbesondere, wenn der Datenschutzbeauftragte bereits durch andere Aufgaben ausgelastet ist. Generell kann die Funktion des Datenschutzbeauftragten auch komplett ausgelagert werden, da er nicht Mitarbeiter im Unternehmen zu sein braucht. In jedem Fall lohnt sich eine Beratung, die Notwendigkeiten und Bedürfnisse der jeweiligen Unternehmensform prüft.